공지사항

[공지사항] 넥스지 제품 Spring java Framework 취약점에 해당없음
글쓴이 관리자 날짜 2022-04-04
조회 1350 첨부파일
안녕하세요 넥스지입니다.

넥스지 제품은 Spring java Framework  취약점에 해당없음을 안내해 드립니다.
 - 넥스지 제품 java Framework 미사용




■ kisa 보호나라 발췌

Spring Java 프레임워크 보안 업데이트 권고(CVE-2022-22965, CVE-2022-22963)
2022-3-31 : Spring4Shell, CVE-2022-22963 취약점 보안 업데이트
2022-4-1 : CVE-2022-22965(Spring4Shell) 취약점 보안 업데이트 추가


□ 주요 내용
o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[1]
o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963)[2]
 
□ 영향을 받는 버전
CVE-2022-22965(Spring4Shell)
- 1) JDK 9 이상의 2) Spring 프레임워크 사용하는 경우
- Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전
※ JDK 8 이하의 경우 취약점의 영향을 받지 않음

o CVE-2022-22963
- Spring Cloud Function 3.1.6 ~ 3.2.2 버전
※ 취약점이 해결된 버전 제외(3.1.7, 3.2.3 업데이트 버전 제외)
 
□ Spring4Shell 버전 확인 방법
o JDK 버전 확인
- “java -version” 명령 입력

o Spring 프레임워크 사용 유무 확인
- 프로젝트가 jar, war 패키지로 돼 있는 경우 zip 확장자로 변경하여 압축풀기
이후 아래와 같이 “spring-beans-.jar”, “spring.jar”, “CachedIntrospectionResuLts.class” 로 검색
 
find . -name spring-beans*.jar
 
□ 대응방안
KISA 보호나라 보안 공지 사항 참조


고객님의 안전한 네트워크 보안 환경을 유지하기 위해 최선을 다하겠습니다.

감사합니다.
이전글 21기 결산공고
다음글 주식회사 넥스지 사무실 이전 안내